Evolución de las amenazas informáticas en el primer trimestre de 2025. Estadísticas de computadoras personales

Evolución de las amenazas informáticas en el primer trimestre de 2025. Estadísticas de computadoras personales
Evolución de las amenazas informáticas en el primer trimestre de 2025. Estadísticas de amenazas móviles

Las estadísticas presentadas en este informe se basan en los veredictos de detección de los productos de Kaspersky, a menos que se indique lo contrario. La información fue proporcionada por los usuarios de los productos de Kaspersky que dieron su consentimiento para la transmisión de datos estadísticos.

Cifras del trimestre

En el primer trimestre de 2025:

• las soluciones de Kaspersky repelieron más de 629 millones de ataques lanzados desde varios recursos de Internet;
• el antivirus web reaccionó a 88 millones de enlaces únicos;
• el antivirus de archivos bloqueó más de 21 millones de objetos maliciosos y potencialmente no deseados.
• se detectaron casi 12 mil nuevas modificaciones de ransomware;
• más de 85 mil usuarios se enfrentaron a ataques de ransomware;
• el 11% de las víctimas de ransomware, cuyos datos fueron publicados en sitios de filtración de datos (DLS) de grupos de delincuentes, fueron afectadas por RansomHub, mientras que un poco menos del 11% se enfrentaron a los ransomware Akira y Clop.
• casi 315 mil usuarios se enfrentaron a criptomineros.

Programas cifradores maliciosos

Principales tendencias y eventos del trimestre

Éxitos de las fuerzas del orden

Como resultado de la operación internacional Phobos Aetor contra el cibercrimen, en la que participaron fuerzas del orden de varios países, incluidos Estados Unidos, Reino Unido, Alemania, Francia y otros, fueron arrestados cuatro sospechosos de ser miembros del grupo 8Base. Se los acusa de haber realizado más de 1000 ciberataques en todo el mundo utilizando el cifrador Phobos. Los sospechosos fueron arrestados en Tailandia y están acusados de extorsionar más de 16 millones de dólares en bitcoins. Según la declaración de las autoridades, durante la operación se confiscaron más de 40 activos, incluidos computadoras, teléfonos y billeteras de criptomonedas. También se desconectaron 27 servidores relacionados con el grupo.

Estados Unidos extraditó a un sospechoso de desarrollar el ransomware, en el contexto de la ofensiva contra el grupo LockBit. Su arresto tuvo lugar en Israel el agosto pasado. Se lo acusa de haber recibido más de 230 000 dólares en criptomonedas por trabajar en el grupo desde junio de 2022 hasta febrero de 2024.

Vulnerabilidades y ataques, BYOVD y evasión de EDR

En el primer trimestre se detectaron las vulnerabilidades CVE-2025-0288, CVE-2025-0287, CVE-2025-0286, CVE-2025-0285 y CVE-2025-0289 en el programa Paragon Partition Manager. Según los investigadores, los grupos de extorsionadores explotaron estas vulnerabilidades para obtener privilegios de SYSTEM en Windows durante ataques que usaban la técnica BYOVD (bring your own vulnerable driver).

El grupo Akira utilizó una vulnerabilidad en la cámara web para eludir el sistema de detección y respuesta a amenazas (EDR) y cifrar archivos en la red de la organización mediante el protocolo SMB. Durante el ataque, los delincuentes se enfrentaron a que la solución de seguridad detectaba y bloqueaba su ransomware para Windows. Para evadirla, encontraron en la organización atacada una cámara web de red vulnerable, que funcionaba bajo un sistema operativo basado en Linux y no estaba protegida por EDR. Los atacantes aprovecharon la vulnerabilidad de la cámara web, montaron discos de red de otras máquinas y ejecutaron en la cámara una versión para Linux de su ransomware, lo que les permitió eludir la detección.

El grupo HellCat atacó a varias empresas, incluidas Ascom, Jaguar Land Rover y Affinitiv, utilizando credenciales comprometidas para acceder al sistema Jira. Según los investigadores, los delincuentes obtienen credenciales infectando los sistemas de empleados de varias empresas con troyanos para robar datos (por ejemplo, el stealer Lumma).

Otros eventos

Una fuente anónima publicó los registros de chat internos del grupo Black Basta del mensajero Matrix. Los registros contienen información sobre los métodos de ataque y las vulnerabilidades que el grupo utilizó para llevar a cabo ciberataques. Además, contienen información sobre la estructura interna del grupo y sus participantes, así como datos de más de 367 enlaces únicos a ZoomInfo, que los delincuentes utilizaban para recopilar información sobre posibles víctimas.

Una vulnerabilidad en el sitio de filtración de datos (DLS) permitió identificar al grupo BlackLock. La vulnerabilidad fue descubierta por investigadores que lograron acceder a información confidencial sobre el grupo y sus actividades, que incluía archivos de configuración, credenciales e historial de comandos ejecutados en el servidor. Poco después, probablemente utilizando la misma vulnerabilidad, el grupo de ransomware competidor DragonForce llevó a cabo un ataque de desfiguración en este DLS, cambiando el diseño y publicando los registros de chat internos de BlackLock y algunos archivos de configuración.

Las agrupaciones más activas

En esta sección presentamos los grupos de extorsión más activos según la cantidad de víctimas que cada uno añadió a su sitio de filtración de datos (DLS) durante el período cubierto por el informe. En el primer trimestre, el líder por el número de nuevas víctimas sigue siendo el grupo RansomHub (11.03%), que también se destacó en 2024. Le siguen, con una pequeña diferencia, Akira (10.89%) y Clop (10.69%).

Porcentaje de víctimas de un grupo específico (según los datos de su sitio DLS), del total de víctimas de todos los grupos, publicado en todos los sitios DLS durante el período del informe (descargar)

Número de nuevas modificaciones

En el primer trimestre, las soluciones de Kaspersky detectaron tres nuevas familias y 11 733 nuevas modificaciones de cifradores, lo que cuadruplica las cifras alcanzadas en el cuarto trimestre de 2024. Esto se debe al gran número de muestras que nuestras soluciones han clasificado como pertenecientes a la familia Trojan-Ransom.Win32.Gen.

Número de nuevas modificaciones de cifradores, primer trimestre de 2024 – primer trimestre de 2025 (descargar)

Número de usuarios atacados por troyanos cifradores

Se protegió a 85 474 usuarios únicos de KSN.

Número de usuarios únicos atacados por troyanos cifradores, primer trimestre de 2025 (descargar)

Geografía de los ataques

TOP 10 de países y territorios atacados por troyanos cifradores

* En nuestros cálculos, excluimos los países y territorios donde el número de usuarios de Kaspersky es relativamente bajo (menos de 50 000).
** Proporción de usuarios únicos cuyos equipos fueron atacados por troyanos cifradores, del total de usuarios únicos de productos Kaspersky en un país o territorio.

TOP 10 de las familias de troyanos cifradores más comunes

* Porcentaje de usuarios únicos de Kaspersky que sufrieron ataques de una familia específica de troyanos extorsionadores, del total de usuarios víctimas de ataques lanzados por troyanos extorsionadores.

Criptomineros

Número de nuevas modificaciones

En el primer trimestre de 2025, las soluciones de Kaspersky detectaron 5 467 nuevas modificaciones de criptomineros.

Cantidad de nuevas modificaciones de criptomineros, primer trimestre de 2025 (descargar)

Número de usuarios atacados por criptomineros

Al mismo tiempo, los criptomineros estuvieron bastante activos en el primer trimestre. Durante el período cubierto por el informe, detectamos ataques que utilizaban este software en las computadoras de 315 701 usuarios únicos de productos de Kaspersky en todo el mundo.

Cantidad de usuarios únicos atacados por criptomineros, primer trimestre de 2025 (descargar)

Geografía de los ataques

TOP 10 de países y territorios atacados por criptomineros

* En nuestros cálculos, excluimos los países y territorios donde el número de usuarios de Kaspersky es relativamente bajo (menos de 50 000).
** Proporción de usuarios únicos cuyos equipos fueron atacados por criptomineros, del total de usuarios únicos de productos de Kaspersky en un país o territorio.

Ataques contra macOS

En el primer trimestre se detectó un nuevo troyano descargador para macOS. Se trata de la versión en Go del malware ReaderUpdate, que ya se había detectado en otras variantes en los lenguajes Python, Crystal, Rust y Nim. Por lo general, estos descargadores se utilizan para bajar publicidad molesta, pero no hay nada que les impida descargar troyanos de cualquier tipo.

Asimismo, en el período cubierto por este informe se detectaron nuevos descargadores de la familia Ferret, que los delincuentes distribuían a través de enlaces falsos para entrevistas en línea. Suponemos que los troyanos están continuando una campaña que se lleva a cabo desde diciembre de 2022. Los primeros representantes de la familia Ferret aparecieron a finales de 2024. Las versiones anteriores del descargador introducían un backdoor y un criptostealer en el dispositivo de la víctima.

De todos los troyanos, las diferentes modificaciones del stealer Amos, que roba contraseñas de usuarios, datos de criptomonederos, cookies del navegador y documentos, se propagaron más activamente en el primer trimestre. Como parte de esta campaña, los delincuentes cambian a intervalos más o menos regulares la forma de ofuscar los troyanos para dificultar su detección y generan miles archivos ofuscados.

TOP 20 de amenazas para macOS

Proporción* de usuarios únicos que se encontraron con este malware, del total de usuarios atacados que utilizan las soluciones de protección de Kaspersky para macOS (descargar)

* Los datos del trimestre anterior pueden mostrar pequeñas diferencias con los que se habían publicado antes, debido a la revisión retrospectiva de algunos veredictos.

Una gran parte de la lista de las amenazas más comunes para macOS son las aplicaciones potencialmente no deseadas: software publicitario, programas con funcionalidad de monitoreo de la actividad del usuario, falsos “limpiadores” y proxys inversos (NetTool). Como ya lo hemos señalado, también se hicieron populares en el primer trimestre los troyanos Amos. Ubicado en la tercera posición, Trojan.OSX.Agent.gen es un veredicto colectivo que detecta diferentes tipos de software malicioso.

Geografía de amenazas para macOS

TOP 10 de países y territorios según la proporción de usuarios atacados

* Porcentaje de usuarios únicos que se enfrentaron a amenazas para macOS, del total de usuarios únicos de productos de Kaspersky en el país o territorio.

Estadísticas de amenazas para IoT

En esta sección presentamos las estadísticas sobre los ataques a las trampas (honeypots) de IoT de Kaspersky. La geolocalización de los orígenes de ataques se establece a partir de las direcciones IP de los dispositivos atacantes.

En el primer trimestre de 2025, la proporción de dispositivos que atacan las trampas de Kaspersky mediante el protocolo Telnet volvió a aumentar tras una disminución a finales de 2024.

Distribución de los servicios atacados, según el número de direcciones IP únicas de dispositivos que lanzaron los ataques (descargar)

A su vez, la distribución de ataques por los protocolos Telnet y SSH, casi no tuvo cambios con respecto al cuarto trimestre de 2024.

Distribución de las sesiones de actividad de los ciberdelincuentes con las trampas de Kaspersky (descargar)

TOP 10 de amenazas cargadas en dispositivos IoT:

Proporción de una amenaza específica, que fue cargada en un dispositivo infectado como resultado de un ataque exitoso, del total de amenazas cargadas (descargar)

Una gran parte de las amenazas más comunes para IoT son las diversas variantes de la botnet DDoS Mirai. En el primer trimestre también se propagó activamente el minero BitCoinMiner (7,32%). El número de ataques de la botnet NyaDrop (19,31%) disminuyó en relación con el cuarto trimestre de 2024.

Geografía de los ataques a las trampas IoT

En la distribución por países y territorios de los ataques por el protocolo SSH, disminuyó el porcentaje de ataques desde el territorio de China, mientras que la proporción de ataques desde el territorio de Brasil aumentó de forma notable. También aumentó un poco la proporción de ataques desde Estados Unidos, Indonesia, Australia y Vietnam.

Entre los ataques por el protocolo Telnet, disminuyó la participación de China e India, principalmente a favor de Brasil, Nigeria e Indonesia.

Ataques a través de páginas web

Los datos estadísticos en esta sección se basan en los veredictos de detección del antivirus web, que protege a los usuarios en el momento de descargar objetos sospechosos de una página web maliciosa o infectada. Los delincuentes crean las páginas maliciosas para fines específicos. Pueden resultar infectados los recursos web donde el contenido es creado por los propios usuarios (por ejemplo, los foros), así como los sitios web legítimos hackeados.

Países y territorios – Fuentes de ataques web: TOP 10

La sección contiene la distribución por países y territorios de los orígenes de ataques por internet bloqueados por los productos de Kaspersky (páginas web con redirecciones a exploits, sitios con exploits y otros programas maliciosos, centros de control de botnets, etc.). Tenga en cuenta que cada host único podría ser la fuente de uno o más ataques web.

Para determinar el origen geográfico de los ataques web, se utilizó la técnica de asignar un nombre de dominio a la dirección IP real en la que se aloja ese dominio y establecer la ubicación geográfica de esa dirección IP (GEOIP).

En el primer trimestre de 2025, las soluciones de Kaspersky repelieron 629 211 451 ataques que se lanzaron desde recursos de internet ubicados en todo el mundo. El antivirus web reaccionó a 88 389 361 URL únicas.

Distribución de los orígenes de ataques web por países y territorios, primer trimestre de 2025 (descargar)

Países y territorios en los que los usuarios corrieron más riesgo de infectarse a través de Internet

Para evaluar el grado del riesgo de infección a través de Internet al que están expuestos los equipos de los usuarios en diferentes países y territorios del mundo, hemos calculado en cada país y en cada territorio la proporción de usuarios de productos de Kaspersky en cuyos equipos se activó el antivirus web durante el período cubierto por el informe. Los datos obtenidos son un indicador de la agresividad del entorno en el que operan las computadoras en diferentes países y territorios.

Recordemos que en este ranking solo se toman en cuenta los ataques con objetos maliciosos de la clase Malware. En nuestros cálculos, no hemos tenido en cuenta las reacciones del antivirus web a programas potencialmente peligrosos y no deseados, como RiskTool y programas publicitarios.

* En los cálculos, excluimos los países y territorios donde el número de usuarios de Kaspersky es relativamente pequeño (menos de 10 000).
** Porcentaje de usuarios únicos afectados por ataques web de objetos maliciosos de clase Malware, del total de usuarios únicos de los productos de Kaspersky en el país o territorio.

En promedio, durante el trimestre, el 6.46% de los equipos de los usuarios de Internet en el mundo fueron objeto de al menos un ataque web de la clase Malware.

Amenazas locales

Un indicador importante es la estadística de las infecciones locales en las computadoras de los usuarios. Esto incluye objetos que han penetrado en la computadora infectando archivos o medios extraíbles, o que inicialmente llegaron a la computadora en forma encubierta (por ejemplo, programas que forman parte de instaladores complejos, archivos cifrados, etc.).

En este apartado analizaremos los datos estadísticos obtenidos durante el funcionamiento del antivirus que analiza los archivos en el disco duro en el momento en que se los crea o cuando se los lee, y los datos del análisis de diferentes memorias extraíbles. La estadística se basa en los veredictos de detección de los módulos OAS (on-access scan) y ODS (on-demand scan) del antivirus de archivos. Hemos tomado en cuenta los programas maliciosos que se encontraron en los equipos de los usuarios o en las memorias extraíbles conectadas a éstos: memorias USB, tarjetas de memoria de cámaras, teléfonos y discos duros externos.

En el primer trimestre de 2025, nuestro antivirus de archivos detectó 21 533 464 objetos maliciosos y potencialmente no deseados.

Países y territorios donde las computadoras de los usuarios estuvieron expuestas al mayor riesgo de infección local.

Para cada uno de los países y territorios, calculamos la proporción de usuarios de productos de Kaspersky que experimentaron la activación del antivirus de archivos durante el período de informe. Esta estadística refleja el nivel de infección de las computadoras personales en diferentes países y territorios del mundo.

Tenga en cuenta que esta clasificación solo tiene en cuenta los ataques de objetos maliciosos de la clase Malware. Al realizar los cálculos, no tomamos en cuenta las activaciones del antivirus de archivos en programas potencialmente peligrosos o no deseados, como RiskTool y programas publicitarios.

* En los cálculos, excluimos los países y territorios en los que el número de usuarios de Kaspersky es relativamente pequeño (menos de 10 000).
** Porcentaje de usuarios únicos cuyos equipos han bloqueado amenazas locales de clase Malware, del total de usuarios únicos de los productos de Kaspersky en el país o territorio.

En promedio, durante el primer trimestre, se detectó al menos una vez una amenaza local de tipo Malware en el 13.62% de los equipos de los usuarios en todo el mundo.